IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Le gouvernement américain contre-attaque le Kremlin pour la campagne de piratage contre SolarWinds,
Six entreprises russes sanctionnées pour avoir soutenu les piratages

Le , par Stan Adkens

196PARTAGES

12  0 
Profitant d'une des faiblesses de la société de logiciels SolarWinds, des pirates informatiques ont pénétré dans les données des entreprises et institutions de son réseau de clients. Le problème qui a émergé des mises à jour du logiciel appelé Orion a touché les principales agences du gouvernement américain et des entreprises privées. Jeudi, les autorités américaines ont formellement accusé la Russie d'avoir soutenu l'un des pires piratages informatiques de l'histoire récente des États-Unis et ont imposé des sanctions destinées à punir cette action et d'autres actions récentes. Six entreprises russes ont été sanctionnées pour avoir soutenu les piratages – les autorités pensent qu’en privant le SVR du soutien de ces sociétés, elles réduiront leur capacité à mener certaines activités malveillantes.

Dans un avis conjoint, la National Security Agency, le FBI et la Cybersecurity and Information Security Agency ont déclaré que le service de renseignement extérieur russe, en abrégé SVR, a mené l'attaque de la chaîne d'approvisionnement contre les clients du logiciel de gestion de réseau édité par SolarWinds, basé à Austin, au Texas. Le groupe de renseignement et de sécurité, qui a enquêté sur la campagne massive de piratage informatique, avait déjà déclaré en janvier que les cybercriminels étaient « vraisemblablement d’origine russe » et que l'attaque était considérée comme un acte d'espionnage plutôt que de cyberguerre.


La campagne, qui a débuté des mois avant d’être découverte, a infecté le système de construction et de distribution des logiciels de SolarWinds et l'a utilisé pour envoyer des mises à jour détournées à environ 18 000 clients. Les pirates ont ensuite envoyé des charges utiles de suivi à une dizaine d'agences fédérales américaines et à une centaine d'organisations privées. Outre l'attaque de la chaîne d'approvisionnement de SolarWinds, les pirates ont également utilisé des mots de passe et d'autres techniques pour pénétrer dans les réseaux. Microsoft est l’une des sociétés privées de premier plan qui ont été touchées par l’opération malveillante et dont le code de ses produits a été volé et mis en vente par les cybercriminels.

Après la révélation de cette opération massive, le président de Microsoft, Brad Smith, l'a qualifiée d'« acte d'imprudence ». Lors d'un appel aux journalistes jeudi, le directeur de la cybersécurité de la NSA, Rob Joyce, a fait écho à l'évaluation selon laquelle l'opération a dépassé les normes établies en matière d'espionnage gouvernemental.

« Nous avons observé absolument de l'espionnage », a déclaré Joyce. « Mais ce qui est inquiétant, c'est qu'à partir de cette plateforme, de la large échelle de disponibilité de l'accès qu'ils ont obtenu, il y a la possibilité de faire d'autres choses, et c'est quelque chose que nous ne pouvons pas tolérer et c'est pourquoi le gouvernement américain impose des coûts et repousse ces activités ».

L'avis conjoint de jeudi indique que les pirates soutenus par le SVR sont à l'origine d'autres campagnes récentes visant les installations de recherche covid-19, à la fois en les infectant avec des logiciels malveillants connus sous les noms de WellMess et WellMail et en exploitant une vulnérabilité critique dans le logiciel Vmware. Dans une déclaration coordonnée en juillet dernier, la Grande-Bretagne, les États-Unis et le Canada ont attribué ces attaques au groupe APT29, également connu sous le nom de Cozy Bear, qui, selon eux, opérait presque certainement dans le cadre des services de renseignement russes. « Nous condamnons ces attaques ignobles contre ceux qui font un travail vital pour lutter contre la pandémie de coronavirus », avait déclaré le directeur des opérations du NCSC, Paul Chichester.

Les cinq vulnérabilités critiques, en incluant la faille VMware, sont les suivantes :

  • CVE-2018-13379 Fortinet FortiGate VPN
  • CVE-2019-9670 Synacor Zimbra Collaboration Suite
  • CVE-2019-11510 Pulse Secure Pulse Connect Secure VPN
  • CVE-2019-19781 Contrôleur et passerelle de livraison d'applications Citrix
  • CVE-2020-4006 Accès à VMware Workspace ONE

Selon l'avis, les services de renseignement russes poursuivent leur campagne, notamment en ciblant les réseaux qui n'ont pas encore corrigé l'une de ces vulnérabilités critiques.

« L'atténuation de ces vulnérabilités est d'une importance capitale, car les réseaux américains et alliés sont constamment scannés, ciblés et exploités par des cyberacteurs parrainés par l'État russe », lit-on dans l'avis. La NSA, le CISA et le FBI encouragent vivement tous les acteurs de la cybersécurité à vérifier que leurs réseaux ne présentent pas d'indicateurs de compromission liés aux cinq vulnérabilités et aux techniques décrites dans l'avis, et à mettre en œuvre de toute urgence les mesures d'atténuation associées ».


Un représentant du fournisseur de VPN Pulse a noté que les correctifs pour CVE-2019-11510 ont été publiés en avril 2019. « Les clients qui ont suivi les instructions d'un avis de sécurité Pulse Secure publié à ce moment-là ont correctement protégé leurs systèmes et atténué la menace ». Au cours des dernières semaines, FortiNet a également souligné qu'il avait patché CVE-2018-13379 en mai 2019. Les fabricants des autres matériels et logiciels affectés ont également publié des correctifs.

Six entreprises russes sanctionnées pour avoir soutenu les activités de piratage du SVR

De hauts responsables américains de l’administration Trump, dont le secrétaire d'Etat Mike Pompeo, avaient précédemment suggéré que la campagne de piratage était menée par un groupe soutenu par la Russie. Tout comme les services de renseignement et de sécurité américains, la Maison-Blanche a déclaré jeudi dans un communiqué de presse que le SVR russe était responsable du piratage de SolarWinds qui a conduit à la compromission des principales agences fédérales et de centaines d'entreprises du secteur privé.

Le communiqué du Département du Trésor américain était accompagné de sanctions en représailles à ce qu'il a qualifié d'« activités agressives et nuisibles du gouvernement de la Fédération de Russie ». Les mesures comprennent des sanctions contre six entreprises basées en Russie qui, selon le Département, « ont soutenu les efforts des services de renseignement russes pour mener des cyberactivités malveillantes contre les États-Unis ».

Les six sociétés et instituts russes concernés par les nouvelles sanctions américaines sont : ERA Technopolis, Pasit, SVA, Neobit, AST et Positive Technologies.

« La raison pour laquelle elles ont été mentionnées est qu'elles font partie intégrante de l'opération que le SVR exécute et y participent », a déclaré Joyce à propos des six sociétés. « Nous espérons qu'en privant le SVR du soutien de ces sociétés, nous réduirons leur capacité à projeter certaines de ces activités malveillantes dans le monde et en particulier aux États-Unis ».

Alors que certains experts en sécurité nationale affirment que l'opération de piratage de SolarWinds pourrait être considérée comme une activité d'espionnage traditionnelle, ce qui n'est pas rare chez les pirates du gouvernement, le Département du Trésor a dit dans son communiqué que « la portée et l'ampleur de cette compromission, combinées à l'histoire de la Russie dans la réalisation de cyberopérations imprudentes et perturbatrices, en font une préoccupation de sécurité nationale ».

Cependant, les responsables du gouvernement russe ont fermement nié toute implication dans la campagne de piratages contre SolarWinds.

Le gouvernement russe « cultive et coopte des pirates informatiques criminels » pour cibler des organisations américaines, a poursuivi le Département du Trésor dans sa déclaration. Un groupe, connu sous le nom d'Evil Corp, a été sanctionné en 2019. La même année, les procureurs fédéraux ont inculpé le pivot d'Evil Corp, Maksim V. Yakubets, et ont affiché une prime de 5 millions de dollars pour toute information menant à son arrestation ou à sa condamnation.

La campagne SVR est toujours en cours et exploite actuellement les exploits mentionnés ci-dessus. Dans un tweet publié jeudi, des chercheurs ont déclaré qu'ils observent un balayage Internet destiné à identifier les serveurs qui n'ont pas encore corrigé la vulnérabilité de Fortinet, que l'entreprise a corrigée en 2019. Le balayage pour les autres vulnérabilités est également probablement en cours.


« Les vulnérabilités contenues dans le communiqué d'aujourd'hui font partie de la boîte à outils du SVR pour cibler les réseaux des secteurs publics et privés. Nous devons rendre le travail du SVR plus difficile en les éliminant », a déclaré Rob Joyce.

La NSA, la CISA et le FBI recommandent aux personnes qui gèrent des réseaux, en particulier ceux qui n'ont pas encore corrigé l'une des cinq vulnérabilités de se rapporter à la dernière alerte du CISA, qui fournit des détails techniques détaillés sur la campagne de piratage en cours et les moyens de détecter et d'atténuer les compromissions.

Sources : Communiqué de presse, Avis de cybersécurité, Alerte du CISA

Et vous ?

Qu’en pensez-vous ?
Quel commentaire faites-vous des sanctions contre les sociétés russes qui aident le SVR dans ses cyberopérations ?

Voir aussi :

Président de Microsoft : le piratage de SolarWinds a été « l'attaque la plus importante et la plus sophistiquée » jamais réalisée, les empreintes informatiques de plus de 1000 développeurs trouvées
Le Trésor américain victime de piratages informatiques soutenus par un gouvernement étranger, plusieurs autres agences gouvernementales et organisations privées seraient également touchées
États-Unis : le piratage des agences fédérales est « vraisemblablement d'origine russe », selon les agences de sécurité nationale, et semblait être destiné à la « collecte de renseignements »
Des pirates russes liés au Kremlin ont ciblé des installations de recherche sur les vaccins contre le covid-19 aux États-Unis, au Royaume-Uni et au Canada, selon les autorités du Royaume-Uni

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de Fagus
Membre expert https://www.developpez.com
Le 16/04/2021 à 13:50
Les USA écoutent et piratent le monde entier notamment pour voler les secrets industriels et diplomatiques (allo Merkel ;-) ?). La belle affaire, les chancelleries occidentales en remercient leurs alliés américains et en demandent encore. Demandez à Snowden et Assange ce qu'ils en pensent. Ah ? on me dit que le dernier est au secret dans une prison de haute sécurité britannique ? (alors que toutes les charges contre lui ont été abandonnées ou les peines ont expiré ?).

Les Américains et les vassaux européens ont tellement acculé la Russie qu'au final, on semble en sortir plutôt perdants nous les Européens. On aurait pu avoir un allié, on avait un partenaire économique, et on se retrouve face à une puissance militaire qu'on rend hostile et qu'on pousse à s'allier à la Chine.

Tiens, le jour où la Chine mangera Taïwan, et obtiendra ainsi l'hégémonie mondiale sur quasi toute la chaîne de production de composants électroniques, on fera moins nos malins puisqu'il n'y en a plus en occident, notamment grâce aux entreprise françaises sans usines, puis sans R&D, puis finalement sans entreprises.

Peut être que si les Russes ne sont pas trop vaches, ils voudront bien nous faire un prix d'ami sur leurs processeurs russes
5  0 
Avatar de kain_tn
Expert éminent https://www.developpez.com
Le 20/04/2021 à 9:36
Citation Envoyé par Bruno Voir le message

Quel est votre avis sur le fait que le FBI aurait accédé à l’insu des entreprises pour supprimer les portes dérobées des serveurs Microsoft Exchange ?
Éthiquement parlant, c'est quand même limite.

Je trouve l'approche du NCSC bien plus louable, surtout que d'après l'article, les failles ne sont pas corrigées suite à l'action du FBI, puisque sans patch, les serveurs peuvent être à nouveau compromis. Là on donne une fausse impression de sécurité.
3  0 
Avatar de weed
Membre chevronné https://www.developpez.com
Le 20/04/2021 à 10:12
Je me poserais également la question si les PME se détournaient de Exchange et se tourneraient vers des alternatives tel que Postfix.

Le problème serait que le FBI n'aurait plus accès à des portes dérobés pour s'infiltrer sur les réseaux des PME et faire leur travail de renseignements.

Je suis bien conscient que Postfix n'offre pas d'écosystème (mail + réunion Teams), il y a peu de risque que les PME migrent, mais certains directeurs devraient tout de même se poser la question ..

EDIT : correction des fautes de frappes
3  0 
Avatar de kain_tn
Expert éminent https://www.developpez.com
Le 20/04/2021 à 23:40
Citation Envoyé par TotoParis Voir le message
"Nous ne voulons pas d'un avenir où le FBI détermine qu'une personne peut être vulnérable, puis s'en sert comme prétexte pour obtenir un accès."
Pourquoi pas. Mais ces 30 000 organisations ont été défaillantes en terme de cyber-sécurité.
On peut toujours discuter des inconvénients de la méthode, mais les inconvénients de ce laxisme sont pour le moins bien plus graves.
Encore une fois, ils n'ont pas corrigé les vulnérabilités, ils ont juste supprimé les portes dérobées, ce qui est réversible, donc non pérenne. Ça ne va pas éduquer ces 30 000 organisations, et en plus côté intrusion ce n'est pas fantastique.

S'ils ont les moyens de s'introduire chez ces 30 000 organisations, alors c'est qu'ils ont le moyen d'identifier les serveurs Exchange non-patchés: un message à ces 30 000 organisations pour leur donner un délai d'application des patchs sous menace d'intrusion du FBI aurait été plus constructif sur le long terme, et ça ne leur aurait sans doute pas coûté bien cher.

Ça sent la panique, tout ça.
3  0 
Avatar de kain_tn
Expert éminent https://www.developpez.com
Le 16/04/2021 à 16:35
Citation Envoyé par Fagus Voir le message
Les USA écoutent et piratent le monde entier notamment pour voler les secrets industriels et diplomatiques (allo Merkel ;-) ?). La belle affaire, les chancelleries occidentales en remercient leurs alliés américains et en demandent encore. Demandez à Snowden et Assange ce qu'ils en pensent. Ah ? on me dit que le dernier est au secret dans une prison de haute sécurité britannique ? (alors que toutes les charges contre lui ont été abandonnées ou les peines ont expiré ?).

Les Américains et les vassaux européens ont tellement acculé la Russie qu'au final, on semble en sortir plutôt perdants nous les Européens. On aurait pu avoir un allié, on avait un partenaire économique, et on se retrouve face à une puissance militaire qu'on rend hostile et qu'on pousse à s'allier à la Chine.

Tiens, le jour où la Chine mangera Taïwan, et obtiendra ainsi l'hégémonie mondiale sur quasi toute la chaîne de production de composants électroniques, on fera moins nos malins puisqu'il n'y en a plus en occident, notamment grâce aux entreprise françaises sans usines, puis sans R&D, puis finalement sans entreprises.

Peut être que si les Russes ne sont pas trop vaches, ils voudront bien nous faire un prix d'ami sur leurs processeurs russes
Oui, ça rappelle la Guerre Froide, où les pays européens servaient déjà de tampons entre les deux super-puissances... On est toujours les mêmes dindons de la farce, et on en redemande...
2  0 
Avatar de kain_tn
Expert éminent https://www.developpez.com
Le 29/05/2021 à 14:46
Citation Envoyé par Stéphane le calme Voir le message

Le président de Microsoft, Brad Smith, a décrit l'attaque comme « l'attaque la plus grande et la plus sophistiquée que le monde ait jamais vue ».
Ouais enfin, il ne faut pas charrier non plus, hein. C'est une "supply chain attack" classique. Ils se sont juste fait avoir pour avoir fait confiance à un éditeur tiers avec des pratiques logicielles toutes pourries. Mais bon, face aux actionnaires il ne peut pas dire ça

Citation Envoyé par Stéphane le calme Voir le message

Les États-Unis et la Grande-Bretagne ont blâmé le service russe de renseignement extérieur (SVR), successeur des opérations d'espionnage étrangères du KGB, pour le piratage qui a compromis neuf agences fédérales américaines et des centaines d'entreprises du secteur privé.
Aaah, les Russes. Qui est-ce que les USA pourraient blâmer s'ils n'existaient pas?! Ah non, c'est bon en fait, ils en ont une pleine liste

Blâmer les autres quand on a délibérément fait du travail de cochon (et que l'on fait régulièrement la même chose), je trouve ça quand même très gros!
2  0 
Avatar de GordonFreeman
Membre éclairé https://www.developpez.com
Le 07/07/2021 à 17:00
Mais que dire...

Il ne se passent pas un jour sans qu'on nous parle des piratages de groupuscules Russes couvert par le gouvernement. Le point commun, les accusations viennent toujours du même pays, les preuves en revanche...

A croire qu'à force de répéter quelque chose ça en devient une réalité !

Et si c'est effectivement la réalité (ce qui est plausible évidement), alors peut-être que les Russes devraient faire comme les USA, ne pas s'embarrasser de "groupes criminels" et faire ça directement au niveau du gouvernement comme le pays de l'oncle Sam (prouvé maintes fois en Europe).

D'ailleurs, on ne parle plus trop des piratages Chinois depuis un moment ?! Soit c'est moins vendeur ou utile (en matière d'intérêt) soit c'est qu'ils sont surement devenus très sage depuis j'imagine.

En résumé, la guerre de l’information a de beau jours devant elle !
5  3 
Avatar de kain_tn
Expert éminent https://www.developpez.com
Le 19/06/2024 à 0:05
Citation Envoyé par Stéphane le calme Voir le message

Quel est le rôle des entreprises technologiques dans la protection contre les cybermenaces étatiques ?
Leur rôle est de se faire plein d'argent. Ce sont des entreprises privées, pas du service public. Et les gens à la tête des états sont juste des hypocrites qui font semblant de ne pas le savoir, alors qu'eux même oscillent entre ces grandes entreprises et le public, au cours de leur carrière.

Citation Envoyé par Stéphane le calme Voir le message

Dans quelle mesure les utilisateurs peuvent-ils faire confiance aux services cloud, sachant que des vulnérabilités peuvent ne pas être corrigées ?
La plupart des utilisateurs sont des pigeons. Je suis le premier navré par ce constat, mais sinon, le cloud n'aurait pas autant de succès.
Attention hein, les technologies sous-jacentes au cloud sont quand-même impressionnantes, mais les GAFAM se foutent complètement de la sécurité de leurs clients.

Citation Envoyé par Stéphane le calme Voir le message

Comment la législation actuelle pourrait-elle être améliorée pour mieux protéger les citoyens contre les failles de sécurité non divulguées ?
Aucune chance que ça arrive. Les lois sont faites pour aider les riches et les puissants, pas pour protéger la plèbe.

Citation Envoyé par Stéphane le calme Voir le message

Quelles conséquences devraient subir les entreprises qui choisissent de ne pas corriger les vulnérabilités connues pour des raisons financières ?
Aucune. Il faudrait simplement faire fermer les clients, avec par exemple des retraits de licences pour des banques ou des assurances. Là, ça bougerait très très vite.

Citation Envoyé par Stéphane le calme Voir le message

Est-il éthique pour une entreprise de sacrifier la sécurité pour des avantages concurrentiels ?
Non. Ce n'est jamais éthique, mais dans un monde libéral, sans aucune conséquences, c'est cohérent.

Citation Envoyé par Stéphane le calme Voir le message

Quel impact cette révélation pourrait-elle avoir sur la relation entre les entreprises technologiques et les gouvernements ?
Aucune. Si c'est suffisamment médiatisé, le gouvernement US fera semblant de taper du poing sur la table, et si ça fait vraiment trop de foin au point de menacer la santé 'un mastodonte de l'économie US, comme avec Boeing, on retrouvera le lanceur d'alerte suicidé quelque part, et on dira qu'en fait il était dépressif.

Citation Envoyé par Stéphane le calme Voir le message

Les lanceurs d’alerte comme Andrew Harris devraient-ils être protégés ou récompensés pour avoir mis en lumière de telles pratiques ?
Évidemment.

Citation Envoyé par Stéphane le calme Voir le message

Quelles mesures les consommateurs peuvent-ils prendre pour s’assurer que leurs données sont sécurisées ?
C'est quasiment mission impossible: on nous pousse des voitures connectées, des app mobile dans tous les sens, de la sauvegarde automatique dans les clouds des GAFAM. Bref...

Citation Envoyé par Stéphane le calme Voir le message

Comment les récentes cyberattaques influencent-elles votre perception de la sécurité des données dans le cloud ?
Ça ne fait que me conforter dans mon opinion. Kubernetes permet de faire des choses incroyables, à condition de gérer ça sur son infra, et pas sur celle des autres.

On a vu les pertes de données de Google Drive, Solar Winds chez Microsoft, les attaques sur les EDR dont celui de Microsoft (les présentations de la Black Hat Asia sur le sujet étaient hillarantes), les vols de données récurrents (le dernier que j'ai en tête est celui chez Snowflake). Et pourtant, on a des gens qui ne travaillent pas chez ces entreprises et qui défendront corps et âme le fait d'utiliser leurs clouds...

Citation Envoyé par Stéphane le calme Voir le message

Quelle responsabilité les individus ont-ils dans la sécurisation de leurs propres données ?
En temps normal, je dirais que les individus sont responsables, et ils le sont sans doute par complaisance ou par paresse, mais d'un autre côté, les grosses entreprises font tout pour devenir indispensables et se gavent de données.
2  0 
Avatar de ormond94470
Membre actif https://www.developpez.com
Le 21/04/2021 à 21:09
Apparemment les américains les russes les chinois peuvent accéder tranquillement à toutes les boîtes du monde, ça ne sert plus à rien de se protéger, levons toutes les restrictions !
2  1 
Avatar de ormond94470
Membre actif https://www.developpez.com
Le 07/07/2021 à 8:35
Le mec qui doit désigner un coupable à la roulette est tombé 2x de suite sur la Russie, normalement la règle c'est qu'on retire le dernier désigné... Si tu me lis il doit rester que la Chine, l'Iran et la Corée du Nord. Bonne chance.
3  2